EN ESTA PÁGINA
Descripción general del identificador de línea lógica RADIUS (LLID)
Atributos RADIUS para solicitudes de autenticación previa LLID
Configuración de la autenticación previa de identificación de línea lógica (LLID)
Configuración de un puerto y una contraseña para solicitudes de autenticación previa de LLID
Comprobación y administración de la configuración de autenticación previa de LLID
Identificación de la línea lógica RADIUS
Descripción general del identificador de línea lógica RADIUS (LLID)
La función de identificación de línea lógica (LLID) ayuda a los proveedores de servicios a mantener una base de datos de clientes confiable y actualizada para aquellos suscriptores que se mueven con frecuencia de una línea física a otra. El LLID está diseñado para proporcionar al proveedor de servicios un ID de estación llamante configurable para la línea de acceso del abonado. Un ID de estación de llamada se deriva de la ubicación de la línea física y la información del cliente suscriptor. La información de línea derivada de la instalación del proveedor de servicios no es amigable para que el mayorista de línea de acceso administre la propiedad de la línea de acceso cuando los suscriptores cambian con frecuencia de ubicación física. La función LLID se basa en un puerto virtual, el LLID, en lugar de la línea física utilizada por el suscriptor. El LLID proporciona una gestión de la información de línea impulsada por AAA con un proveedor de servicios (generalmente un mayorista).
El LLID es una cadena alfanumérica que se basa en el nombre de usuario del suscriptor y el ID del circuito. El LLID identifica lógicamente la línea del abonado y se asigna a la línea física del abonado en la base de datos de clientes del proveedor de servicios. Cuando el suscriptor se mueve a una ubicación diferente y a una línea física diferente, la base de datos se actualiza para asignar el LLID a la nueva línea física. Debido a que el LLID del suscriptor permanece constante, proporciona a los proveedores de servicios un medio seguro y confiable para rastrear a los suscriptores y mantener una base de datos de clientes precisa. La administración de suscriptores admite la función LLID para suscriptores de PPP a través de PPPoE, PPPoA y LAC.
Para asignar un LLID a un suscriptor, el enrutador emite dos solicitudes de acceso RADIUS. La primera solicitud es una solicitud de autenticación previa, que obtiene el LLID de un servidor de autenticación previa RADIUS. La segunda solicitud es la solicitud de autenticación estándar enviada al servidor de autenticación RADIUS.
En la siguiente secuencia de pasos se describe cómo la administración de suscriptores obtiene y utiliza el LLID. El procedimiento supone que la autenticación previa está habilitada en el enrutador y que los servidores de autenticación previa RADIUS están configurados.
El suscriptor PPP envía un mensaje de solicitud de autenticación al enrutador.
El enrutador envía un mensaje de solicitud de acceso al servidor de autenticación previa de RADIUS para obtener un LLID para el suscriptor.
El servidor de autenticación previa devuelve el LLID al enrutador en el atributo Calling-Station-Id (atributo RADIUS 31) en el mensaje Access-Accept.
Nota:Este paso incluye un uso no estándar del atributo Calling-Station-Id. Este atributo suele estar presente en los mensajes de solicitud RADIUS, como una solicitud de acceso, no en los mensajes de respuesta. Además, el enrutador ignora todos los atributos RADIUS, excepto el identificador de estación de llamada, que se devuelven en el mensaje de acceso-aceptación previo a la autenticación. Además, cualquiera radius options que esté configurado en el enrutador, como calling-station-id-format, no tiene ningún efecto en el atributo Calling-Station-Id en la solicitud de autenticación previa.
El enrutador codifica el identificador de la estación de llamada (LLID) en un segundo mensaje de solicitud de acceso y envía el mensaje al servidor de autenticación RADIUS. Esta solicitud de autenticación es el uso estándar del atributo Calling-Station-Id.
El servidor de autenticación RADIUS devuelve un mensaje de aceptación de acceso al enrutador. El mensaje Acceso-Aceptar incluye atributos para la sesión del suscriptor.
Nota:Una vez que el servidor de autenticación RADIUS haya autenticado correctamente al suscriptor previamente autenticado, todos los mensajes de solicitud RADIUS posteriores, como los mensajes de solicitud de contabilidad, incluirán el LLID en el atributo Calling-Station-Id.
Para los suscriptores PPP tunelizados, el enrutador, actuando como un concentrador de acceso L2TP (LAC), codifica el LLID en el número de llamada AVP (atributo L2TP 22) y envía el atributo al servidor de red L2TP (LNS) en un paquete de solicitud de llamada entrante (ICRQ). Después de una solicitud de autenticación previa exitosa, el enrutador siempre codifica el LLID en el número de llamada L2TP AVP.
Atributos RADIUS para solicitudes de autenticación previa LLID
En la tabla 1 se enumeran los atributos IETF de RADIUS utilizados en una solicitud de autenticación previa para obtener el LLID de un suscriptor y se describe la información que se incluye en los atributos. En algunos casos, la autenticación previa utiliza un atributo para la información que es diferente de la descripción del IETF; la tabla indica cualquier uso no estándar de los atributos RADIUS.
Número de atributo |
Nombre del atributo |
Descripción |
---|---|---|
1 |
Nombre de usuario |
(Uso no estándar del atributo.) Información identificativa del usuario asociado al LLID, en el siguiente formato.
Ejemplo:
Nota:
El enrutador elimina cualquier información generada dinámicamente del atributo User-Name durante la autenticación previa. |
2 |
Contraseña de usuario |
(Uso no estándar del atributo.) Contraseña del usuario que se va a autenticar. Ejemplo: Siempre establecido en |
4 |
Dirección IP del NAS |
Dirección IP del servidor de acceso a la red (NAS) que solicita la autenticación del usuario Ejemplo: |
5 |
Puerto NAS |
Número de puerto físico del NAS que autentica al usuario. Siempre interpretado como un campo bit |
6 |
Tipo de servicio |
Tipo de servicio solicitado por el usuario o tipo de servicio a prestar. Ejemplo: |
61 |
Tipo de puerto NAS |
Tipo de puerto físico que el NAS está utilizando para autenticar al usuario. Puede utilizar la |
77
|
Información de conexión |
(Uso no estándar del atributo.) El nombre de usuario. Ejemplo: |
87 |
ID de puerto NAS |
Cadena de texto que identifica la interfaz física del NAS que autentica al usuario. Incluye cualquier información generada dinámicamente. Ejemplo: |
Configuración de la autenticación previa de identificación de línea lógica (LLID)
La función de identificación de línea lógica (LLID) permite a los proveedores de servicios rastrear a los suscriptores sobre la base de un puerto virtual, el LLID, en lugar del puerto físico utilizado por el suscriptor. El LLID se asigna mediante un servidor de autenticación previa RADIUS, que se configura en un perfil de acceso.
Para configurar el enrutador de modo que admita la autenticación previa para la función LLID:
No puede configurar las instrucciones de autenticación previa en este procedimiento si ha configurado la radius attributes exclude
instrucción para excluir el atributo Calling-Station-ID de los mensajes de solicitud de acceso RADIUS.
Especifique el perfil de acceso que desea usar para la compatibilidad con la autenticación previa del suscriptor.
[edit]
user@host# edit access profile profile-name
Especifique el orden en que el enrutador utiliza los métodos de autenticación previa admitidos. radius es el único método de autenticación admitido.
[edit access profile profile-name]
user@host# set preauthentication-order radius
Especifique que desea configurar la compatibilidad con RADIUS.
[edit access profile profile-name]
user@host# edit radius
Especifique la dirección IP del servidor RADIUS utilizado para la autenticación previa.
[edit access profile profile-name radius]
user@host# set preauthentication-server 192.168.100.10
Nota:La función de autenticación previa utiliza los
retry
parámetros ytimeout
configurados para el servidor de autenticación RADIUS.(Opcional) Muestra estadísticas de autenticación previa AAA.
user@host>
show network-access aaa statistics preauthentication
Preauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(Opcional) Compruebe la configuración del servidor de autenticación previa de RADIUS.
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
Configuración de un puerto y una contraseña para solicitudes de autenticación previa de LLID
Puede configurar un enrutador que funcione como cliente RADIUS para que se ponga en contacto con un servidor RADIUS para solicitudes de autenticación y autenticación previa en dos puertos UDP diferentes y mediante contraseñas secretas diferentes. De manera similar a la configuración de los números de puerto para las solicitudes de autenticación y contabilidad, puede definir un número de puerto único que el enrutador utilice para ponerse en contacto con el servidor RADIUS para las solicitudes de autenticación previa de identificación de línea lógica (LLID). También puede definir una contraseña única para las solicitudes de autenticación previa. Si no configura un puerto UDP independiente o un secreto para fines de autenticación previa, se usarán el mismo puerto UDP y el mismo secreto que configuró para los mensajes de autenticación.
Para configurar un número de puerto UDP único que se usará para ponerse en contacto con el servidor RADIUS para solicitudes de autenticación previa, incluya la preauthentication-port port-number
instrucción en el nivel de [edit access radius-server server-address]
jerarquía o [edit access profile profile-name radius-server server-address]
.
Para especificar el puerto UDP para todos los perfiles de acceso:
[edit access] radius-server server-address { preauthentication-port port-number; }
Para especificar el puerto UDP para un perfil de acceso específico:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
Para configurar la contraseña que se utilizará para ponerse en contacto con el servidor de autenticación previa de RADIUS, incluya la preauthentication-secret password
instrucción en el nivel [edit access radius-server server-address]
o [edit access profile profile-name radius-server server-address]
jerárquico.
Para especificar la contraseña para todos los perfiles de acceso:
[edit access] radius-server server-address { preauthentication-secret password; }
Para especificar la contraseña de un perfil de acceso específico:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }
Comprobación y administración de la configuración de autenticación previa de LLID
Propósito
Muestra estadísticas e información de configuración relacionada con la autenticación previa de la identificación de línea lógica (LLID).
Acción
Para mostrar estadísticas de autenticación previa de LLID:
user@host> show network-access aaa statistics preauthentication
Para mostrar información sobre los servidores de autenticación previa:
user@host> show network-access aaa radius-servers